一、項目概況:
(一)建設背景
按照等級保護制度的相關要求,為促進保障單位信息化弱電系統(tǒng)集成建設、應用、管理和服務水平的持續(xù)提高,網(wǎng)絡信息系統(tǒng)的安全、穩(wěn)定運行,考慮到系統(tǒng)承載業(yè)務的重要性和即將面臨的安全風險,開展信息系統(tǒng)與基礎設施安全差距評估、整改,并通過等級保護2.0的測評工作。
(二)建設內(nèi)容
2.1 網(wǎng)絡等保安全整改部分
本次單位集體化弱電系統(tǒng)集成項目共需整改內(nèi)外網(wǎng)絡,在外網(wǎng)的方案中,互聯(lián)網(wǎng)進來接入利舊的路由器,路由器下接安全設備防火墻以及上網(wǎng)行為管理,再下接到核心交換機,接入交換機通過光纖接入到核心交換機,接入交換機下掛無線AP以及接入終端即PC等。
內(nèi)網(wǎng)是通過防火墻連接專網(wǎng),下掛核心交換機,接入交換機通過光纖連接核心交換機。
等保通過建設安全設備來保證,通過國家法定的要求。通過部署防火墻、日志審計、數(shù)據(jù)庫審計、堡壘機等安全設備來達到國家法定要求。
2.1.1 通信網(wǎng)絡
單位的通信網(wǎng)絡的安全主要包括:網(wǎng)絡架構(gòu)安全冗余性等方面。
網(wǎng)絡架構(gòu)是否合理直接影響著是否能夠有效的承載業(yè)務需要,因此網(wǎng)絡架構(gòu)需要具備一定的冗余性,包括通信鏈路的冗余,通信設備的冗余。
合理的劃分安全區(qū)域,子網(wǎng)網(wǎng)段和VLAN。
2.1.2 安全區(qū)域邊界
區(qū)域邊界的安全主要包括:邊界防護、訪問控制、入侵防范以及安全審計等方面。
1、邊界防護檢查
邊界的檢查是最基礎的防護措施,首先在網(wǎng)絡規(guī)劃部署上要做到流量和數(shù)據(jù)必須經(jīng)過邊界設備,并接受規(guī)則檢查,其中包括無線網(wǎng)絡的接入也需要經(jīng)過邊界設備檢查,因此不僅需要對非授權(quán)設備私自聯(lián)到內(nèi)部網(wǎng)絡的行為進行檢查,還需要對內(nèi)部非授權(quán)用戶私自聯(lián)到外部網(wǎng)絡的行為進行檢查,維護邊界完整性。
2、邊界訪問控制
單位的網(wǎng)絡可劃分為如下邊界:
對于各類邊界最基本的安全需求就是訪問控制,對進出安全區(qū)域邊界的數(shù)據(jù)信息進行控制,阻止非授權(quán)及越權(quán)訪問。
3、邊界入侵防范
各類網(wǎng)絡攻擊行為既可能來自于大家公認的互聯(lián)網(wǎng)等外部網(wǎng)絡,在內(nèi)部也同樣存在。通過安全措施,要實現(xiàn)主動阻斷針對信息系統(tǒng)的各種攻擊,如病毒、木馬、間諜軟件、可疑代碼、端口掃描、DoS/DDoS等,實現(xiàn)對網(wǎng)絡層以及業(yè)務系統(tǒng)的安全防護,保護核心信息資產(chǎn)的免受攻擊危害。
4、邊界安全審計
在安全區(qū)域邊界需要建立必要的審計機制,對進出邊界的各類網(wǎng)絡行為進行記錄與審計分析,可以和主機審計、應用審計以及網(wǎng)絡審計形成多層次的審計系統(tǒng)。并可通過安全管理中心集中管理。
2.1.3 管理中心
劃分出特定的管理區(qū)域,對分布在網(wǎng)絡中的安全設備或安全組件進行管控;
能對服務器進行監(jiān)控,包括監(jiān)視服務器的CPU、硬盤、內(nèi)存、網(wǎng)絡等資源情況,能夠?qū)ο到y(tǒng)服務水平降低到預先規(guī)定的最小值進行檢測和報警。
對分散在各個設備上的審計數(shù)據(jù)進行收集匯總和集中分析,并保證審計記錄的留存時間符合法律法規(guī)要求; 對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理;
對網(wǎng)絡中發(fā)生的各類安全事件進行識別、報警和分析。
2.1.4 應急相應服務
為確保單位的外網(wǎng)日常安全運維,采用云端平臺結(jié)合安全防御節(jié)點上報的安全日志與取證數(shù)據(jù),實現(xiàn)安全事件分析、防護策略的聯(lián)動,提供安全分析、事件閉環(huán)、安全預警、安全咨詢等服務,主要包括:
1、接收安全防御節(jié)點上報的安全事件相關的關鍵信息,通過機器+人工的方式對安全事件進行分析,將準確的分析結(jié)果反饋給用戶;
2、對于授權(quán)云端自動處置的用戶,提供安全事件自動閉環(huán)服務,將閉環(huán)策略直接下發(fā)到安全防御節(jié)點;對于未授權(quán)云端自動處置的用戶,提供安全事件的處置建議,指導用戶自主閉環(huán)安全事件;
3、為用戶提供周報、月報、緊急安全事件短信通知等服務,通過短信、郵件形式為客戶提供統(tǒng)一安全分析、專家服務、安全事件處置指導,使安全運維工作易懂、高效。
2.2 外網(wǎng)無線覆蓋建設
近些年來,隨著筆記本、手機、PAD等無線終端的崛起,辦公場所部署無線網(wǎng)絡也越來越重要。WLAN憑借自己的高帶寬、低成本、可漫游的技術(shù)優(yōu)勢,能有效分擔用戶密集地點的2G/3G帶寬壓力,帶給客戶更佳的體驗;同時又可靈活地延伸固定寬帶網(wǎng)絡,促進固網(wǎng)和移動業(yè)務的有機融合;也可用于解決布線困難區(qū)域的網(wǎng)絡接入問題。
隨時隨地自由的接入網(wǎng)絡已成辦公網(wǎng)的基本訴求,WLAN無線覆蓋自然也就成為辦公網(wǎng)最基本的需求。
Wi-Fi 6是下一代802.11ax標準的簡稱。隨著Wi-Fi標準的演進,WFA為了便于WiFi用戶和設備廠商輕松了解其設備連接或支持的Wi-Fi型號,選擇使用數(shù)字序號來對WiFi重新命名。另一方面,選擇新一代命名方法也是為了更好地突出Wi-Fi技術(shù)的重大進步,它提供了大量新功能,包括增加的吞吐量和更快的速度、支持更多的并發(fā)連接等。
2.2.1 無線網(wǎng)絡設計
建設單位整體網(wǎng)絡網(wǎng)絡,除了要滿足現(xiàn)有員工容量的現(xiàn)狀與未來幾年內(nèi)的發(fā)展之外,還需要根據(jù)無線網(wǎng)絡自身的特點,為其設計規(guī)劃一個與“有線無線網(wǎng)絡融合、一體化管理、高帶寬、大范圍覆蓋、安全可信”的無線覆蓋網(wǎng)絡,無線網(wǎng)絡規(guī)劃將從無 線信道帶寬保障、重點區(qū)域覆蓋、安全可信、網(wǎng)絡管理充分融合等多方面綜合考慮。本次覆蓋綜合樓1-8F辦公區(qū)域。
2.2.2 無線AP覆蓋規(guī)劃
1、無線覆蓋信號
覆蓋區(qū)域信號強度不低于-65dBm,移動辦公業(yè)務使用較為集中區(qū)域的接入速率應不低于140Mbps,一般使用的接入速率不低于50Mbps
2、容量計算
當無線覆蓋區(qū)域并發(fā)員工不超過60個,如果人員分布密集或集中辦公區(qū),考慮增加AP部署密度。
3、工作頻段與頻點規(guī)劃
依照WLAN的國際規(guī)范和國際無線電管理委員會的標準,WLAN無線設備的工作頻段為2400-2483.5MHz,帶寬
83.5MHz,劃分為14個子信道,每個子頻道帶寬為22MHz,最多有13個信道可用。
在多個頻道同時工作的情況下,為保證頻道之間不互相干擾,要求兩個頻道的中心頻率間隔不能低于25MHz??紤]參照
北美標準設計的許多WLAN設備和終端(比如網(wǎng)卡)不能使用12、13信道做為辦公信道,因此建議一般選用1/6/11信道。
5GHz頻段:更多的頻譜資源-數(shù)量較多的不沖突頻點,更少的干擾(藍牙、微波爐),從40MHz信道綁定獲得最高的性能,802.11ac的客戶端只有在5GHz頻段上支持40MHz。
2.4GHz頻段:兼容原有的802.11a、b/g的客戶端;不建議在2.4GHz頻點使用40MHz信道綁定,大部分客戶端不支持;避免了802.11a、b/g與802.11n混用,降低性能。
2.3 機房物理環(huán)境整改
物理安全風險主要是指網(wǎng)絡周邊的環(huán)境和物理特性引起的網(wǎng)絡設備和線路的不可使用,從而會造成網(wǎng)絡系統(tǒng)的不可使用, 甚至導致整個網(wǎng)絡的癱瘓。它是整個網(wǎng)絡系統(tǒng)安全的前提和基礎,只有保證了物理層的可用性,才能使得整個網(wǎng)絡的可用性, 進而提高整個網(wǎng)絡的抗破壞力,例如:
機房缺乏控制,人員隨意出入帶來的風險; 網(wǎng)絡設備被盜、被毀壞;
線路老化或是有意、無意的破壞線路; 設備在非預測情況下發(fā)生故障、停電等; 自然災害如地震、水災、火災、雷擊等; 電磁干擾等。
因此,在通盤考慮安全風險時,應優(yōu)先考慮物理安全風險。保證網(wǎng)絡正常運行的前提是將物理層安全風險降到最低或是盡量考慮在非正常情況下物理層出現(xiàn)風險問題時的應對方案。
新機房按照等保相關要求進行建設,按照場地機房裝修、配電防雷系統(tǒng)、配電橋架及線纜敷設、UPS系統(tǒng)、防雷接地系統(tǒng)、空調(diào)系統(tǒng)、環(huán)境監(jiān)控系統(tǒng)、設備機柜系統(tǒng)、機房綜合布線系統(tǒng)、消防系統(tǒng)等,進行機房整體等級保護;
2.3.1 機房整改內(nèi)容
機房改造包括天花板安裝,門禁改造等內(nèi)容: 天花板采用微孔鋁板裝飾;
機房門口增加智能門禁;
2.3.2 機房布線
機房布線材料采用超五類雙絞線和附件,建立一套先進、完善的機房綜合布線系統(tǒng),為機房管理各種應用,包括數(shù)據(jù)、語音、控制等應用系統(tǒng)提供接入方式、配線方案,從而實現(xiàn)系統(tǒng)配置靈活、易于管理、易于維護、易于擴充的目的。
2.3.3 恒溫設備
由于計算機機房處于長時間連續(xù)工作狀態(tài),故機房的熱負荷較大。為給計算機機房提供一個良好的工作環(huán)境,主機房區(qū)按照實際熱負荷計算,需安裝機房精密空調(diào)一臺,其有效控制區(qū)域為主機房區(qū),在部署精密空調(diào)設備時,需在精密空調(diào)下加裝承 載體,以減輕對樓板的壓力。
2.3.4 UPS備電系統(tǒng)
UPS主機、電池柜放置在機房主機區(qū)的配電區(qū)域內(nèi),其底部均加裝承載體,以減輕對樓板的壓力。
2.3.5 防雷接地
在每路電源的進線配電柜內(nèi),安裝符合實際需要的電源浪涌抑制器;當市電出現(xiàn)較長時間的脈沖電壓或瞬間大電流脈沖電壓時,應能夠立即把市電短路到地線,并保護負載和設備。
2.3.6 消防系統(tǒng)
在設備機柜的吊頂上、吊頂下及地板下均裝有火災探測器,對其全面監(jiān)測、設防。
2.3.7 機房智能監(jiān)控系統(tǒng)
機房智能監(jiān)控系統(tǒng)監(jiān)測功能如下:機房異常情況報警;實時監(jiān)測及控制;交直流電壓監(jiān)測報警功能及UPS檢測功能;精密
空調(diào)的運行狀態(tài)檢測;溫度監(jiān)控報警功能;濕度監(jiān)控報警功能;浸水報警功能;煙霧報警功能;報警管理功能具有遠程監(jiān)控功能。
(三) 設備清單及詳細參數(shù)、功能(略)
?廣東中誠智聯(lián)信息技術(shù)有限公司是一家集設計、施工、服務于一體,專業(yè)的網(wǎng)絡信息化技術(shù)整體解決方案提供商,主要致力于:弱電系統(tǒng)集成、網(wǎng)絡安全服務兩個方向。公司現(xiàn)有技術(shù)員工IT從業(yè)經(jīng)歷都超過15年,有豐富的售前、售中及售后的全方位服務經(jīng)驗,并以良好的信譽和全面的技術(shù)支持向各界用戶提供科學先進專業(yè)的解決方案。憑借出色的技術(shù)和優(yōu)質(zhì)的服務,中誠智聯(lián)已成為眾多上市企業(yè)的安心選擇。
訂閱 | 合作
微信掃描二維碼關注中誠智聯(lián)最新動態(tài)
24小時服務熱線:18602099133
官網(wǎng):m.sxboruidatong.com